Teams noAV

Genau wie bei Skype for Business gibt es Clients oder Standorte, die keine PC-gestützte Audio/Video-Kommunikation nutzen dürfen. Standorte mit schlechten Bandbreiten, technische Beschränkungen wie z.B. RDP/ICA oder einfach keine passenden Endgeräte fallen darunter. Wie kann ich das einstellen ?

Audio/Video-Nutzung steuern

Teams wird im Gegensatz zu Skype for Business immer über den Server konfiguriert. Es gibt keine Gruppenrichtlinien oder lokale Konfigurationseinstellungen. Die AV-Nutzung lässt sich daher nur über Policies in der Cloud vorgegeben. Microsoft selbst beschreibt dazu:

The Teams calling and meeting experience isn't optimized for a VDI environment (coming soon). We recommend you set user-level policies to turn off calling and meeting functionality in Teams.
Teams for Virtualized Desktop Infrastructure
https://docs.microsoft.com/de-de/microsoftteams/teams-for-vdi

Für das Abschalten der Audio/Video-Funktion bedient sich Microsoft zweier Richtlinien:

  • Anrufrichtlinien (CsTeamsCallingPolicy)
    Damit wird die Telefonie-Funktion mit Telefonteilnehmern aber auch Federation und anderen Teams/Skype-Anwendern gesteuert
  • Konferenzrichtlinie (CsTeamsMeetingPolicy )
    Hiermit wird die Audio/Video-Funktion in Besprechungen gesteuert

Beide Einstellungen sind per Browser im Teams Admin Portal steuerbar als auch per Powershell.

Anrufrichtlinien steuern

Bei den Anrufrichtlinien liefert Office 365 schon drei Vorlagen mit, die Sie direkt den Anwendern zuweisen können. Nur die hier sichtbare "BusyOnBusy"-Vorlage ist manuell erstellt.

Für die Deaktivierung von Audio in Gesprächen ist die "DesallowCalling"-Richtlinie passende, die folgende Einstellungen zusammenfasst:

Get-CsTeamsCallingPolicy -identity Tag:DisallowCalling 

 Identity                        : Tag:DisallowCalling
 AllowCalling                    : False
 AllowPrivateCalling             : False
 AllowVoicemail                  : False
 AllowCallGroups                 : False
 AllowDelegation                 : False
 AllowUserControl                : False
 AllowCallForwardingToUser       : False
 AllowCallForwardingToPhone      : False
 PreventTollBypass               : False

Besprechungsrichtlinien

Die zweite Richtlinie bezieht sich auf Audio/Vide in Besprechungen. Auch hier gibt es einige standardmäßig vorhandene Vorlagen:

.

Hier habe ich leider keine "passende" Policy gefunden, die nur Audio/Video abschaltet. Daher müssen Sie eine oder mehrere neue Richtlinien anlegen, in denen Sie IP-Video verhindern und die Bandbreite entsprechend anpassen.

Dabei ist zu beachten, dass die Einstellung "IP-Video" steuert, ob der Benutzer Video senden kann. Wenn er dies nicht darf, können aber andere Personen im Meeting durchaus Video senden und auch der für Video deaktivierte Benutzer kann die Videos sehen. Die Media Bitrate hingegen wirkt sich auf den Benutzer in beide Richtungen aus. Sie bestimmte sowohl den Upstream als auch DownStream im Meeting des Clients und kann daher eher dazu genutzt werden, die Nutzung zu steuern. Leider ist aber 30kBit der minimale Wert, der hier einstellbar ist.

Zuweisen an den Benutzer

Zuletzt müssen die Richtlinien dann natürlich auch den Anwendern zugewiesen werden. Auch das können Sie für einzelne Benutzer noch per Browser machen:

Wenn Sie viele Benutzer zu verwalten haben, dann ist das eher eine Aufgabe für PowerShell.

Grant-CsTeamsMessagingPolicy `
   -PolicyName "MinimalAV"" `
   -Identity "testuser1"

Get-CsOnlineUser `
   -Identity "testuser1" `
| Format-Table UserPrincipalName, TeamsMessagingPolicy

AV auf dem Netzwerk blocken

Sie haben aber schon gemerkt, dass diese Funktion hier nur "Pro User" steuerbar ist aber nicht pro Computer. Einen sauberen Weg zur Beschränkung pro Computer gibt es aktuell noch nicht. Aber eine Möglichkeit steht Ihnen doch offen, wobei die "Erfahrung" der Anwender natürlich gegen den Einsatz solcher Methoden spricht.

Teams nutzt für Audio die Portrange 50000-50019 und Video über 50020-50039 als Quellport. Wenn Teams über die TURN-Server gehen muss, dann sind offiziell 3478-3481/UDP die genutzten Ports. Leider stimmt das nicht, wie ein Wireshark schon zeigt. TURN nutzt auch andere Ports aber die Quellports sind in der Range.

Leider ist es mir nicht gelungen, diese Verbindungen allein über die Windows Firewall zu unterbinden. Selbst mit einer Regel, die alle relevanten Ports und jedes Programm blockt, hat Teams nicht daran gehindert, zu kommunizieren

Allerdings sind lokale Firewalls immer eine schlecht skalierbare Einstellung. Hier ist dann schon die Netzwerkfirewall gefragt. Wenn UDP erfolgreich gesperrt ist, kann es immer noch passieren, dass der Client die Daten über HTTPS (443/TCP) überträgt, die sie dann auch noch z.B. auf einem Proxy entsprechend filtern müssen.

Da allerdings Teams selbst davon nichts weiß, wird es dem Benutzer natürlich weiterhin die Icons für Audio/Video anbieten. Wenn der Benutzer dann versucht, Audio oder Video zu aktivieren, dann kommt die Verbindung einfach mit einer Fehlermeldung nicht zustande.

Ich hoffe, dass Microsoft irgendwann z.B. eine Konfiguration für bestimmte Subnetze zulässt. Aktuell können Sie in Teams ja schon ihre Netzwerk und Standorte hochladen. Es sollte ein kleiner Schritt sein, Location-basierte Richtlinien für Audio/Video zu hinterlegen. So könnten dann Subnetze oder auch einzelne Computer oder Terminal Server abweichend konfiguriert werden. Aktuell werden die Daten "nur" für Call Analytics genutzt

Zwischenstand

Ich kann Microsoft schon verstehen, dass Teams das nächste große Ding ist und nach der Abkündigung von Skype for Business Online zum 31.6.2021 wird Teams noch mehr Benutzer bedienen. Allerdings sehe ich durchaus einen Bedarf die Nutzung von Audio/Video auch pro Client zu steuern und nicht nur pauschal pro Benutzer. Es kann ja durchaus sein, dass ein Anwender auf seinem Smartphone und Laptop mit Teams telefoniert aber eben nicht per Terminal Services oder an Standorten, in denen Audio aus unterschiedlichsten Gründen nicht genutzt werden kann oder darf.

Hier ist noch eine große Lücke bei der Provisionierung, die vermutlich schnell gelöst werden könnte. Ich kann heute schon in Teams Subnetze und Standorte pflegen. Es fehlt nur noch die Option eine Policy darauf anzuwenden, die eine Benutzerrichtlinie überstimmt. Ich weiß leider nicht, ob so eine Funktion schon geplant ist.

Weitere Links